В 64-разрядных выпусках Windows 7/8/2012 трассировщик ядра ETW предоставляет адреса памяти для событий ввода системного вызова. Я хотел бы сопоставить эти адреса с чем-то значимым, например, с именем функции, которая находится по этому адресу: например. АкцептКоннектПорт.
Я знаю, что могу использовать ln (список ближайших символов) в сеансе отладчика ядра для поиска символов по определенному адресу. Чего я хочу, так это сделать это программно. Есть ли библиотека, которую я могу использовать для поиска символа по заданному адресу памяти?
Еще лучше, есть ли авторитетный справочник по смещениям памяти для разных версий Windows. Я нашел эту таблицу, но эти числа не соответствуют ни одному из имеющихся у меня адресов памяти наблюдаемый.
